Persbureau Reuters bericht dat VeriSign, het bedrijf dat verantwoordelijk is voor het veilig houden van het verkeer naar meer dan de helft van alle websites ter wereld, in 2010 meerdere malen is gehackt. Bij die hacks is informatie gestolen, maar om welke informatie dat gaat is onduidelijk. VeriSign is als registrar uiteindelijk verantwoordelijk voor de integriteit van onder andere de .com, .net en .gov domeinen.

Geen garanties

Reuters ontdekte de inbraken omdat VeriSign er melding van maakt in een document van meer dan 2000 pagina's dat is overlegd aan de Amerikaanse beurswaakhond SEC. Dat document is afgelopen oktober ingediend nadat de regels werden aangescherpt over het melden van inbraken aan investeerders.

Verder valt uit de documenten op te maken dat beveiligers kort na de aanvallen ingrepen. Maar pas in september 2011 zijn ze gemeld aan het topmanagement van het bedrijf. Er wordt niet gerept over aanvullende onderzoeken en het lijkt erop dat na de melding geen aanvullende actie is ondernomen.

VeriSign stelt volgens het persbureau dat de top van het bedrijf "niet gelooft" dat deze aanvallen de servers van het Domain Name System (DNS) netwerk hebben gecompromitteerd. Het DNS zorgt ervoor dat mensen na het intikken van een webadres uitkomen op de juiste website door de domeinnaam aan een ip-adres te koppelen. Maar er wordt ook niet uitgesloten dat dat wel is gebeurd.

Cetificaten

Als de hackers wel toegang hebben gehad tot het DNS-systeem dan zouden ze in staat kunnen zijn om een groot deel van de sites op het internet te imiteren. Maar omdat de beschrijving van de aanvallen in de documenten zo vaag is, is niet duidelijk wat er daadwerkelijk aan de hand is.

Het bedrijf reageert tot nu toe niet op vragen van Reuters. Een oudtopman van het bedrijf zegt tegen het persbureau dat aangezien de aanval alweer een tijdje geleden is geweest VeriSign waarschijnlijk geen nauwkeurig onderzoek ernaar kan verrichten. Daardoor blijven veel details onduidelijk.

VeriSign had ook een certificatentak, die in 2010 werd verkocht aan beveiligingsbedrijf Symantec. Een woordvoerster van Symantec zegt tegen Reuters dat er "geen indicatie" is dat de hacks gerelateerd zijn aan de productiesystemen van SSL-certificaten.

Ook in september vorig jaar, vlak na het DigiNotar-debacle, liet Symantec zich uit over de veiligheid van zijn certificaat roots. Fran Rosch, vice-president van Symantecs Trust Services, bezwoer toen dat de roots veilig zijn.

Update: VeriSign heeft inmiddels een officieel statement uitgebracht waarin de uitspraken van Rosch van afgelopen september nogmaals worden benadrukt. "We geloven niet dat de operationele integriteit van het Domain Name System (DNS) is gecompromitteerd." Sinds 2005 heeft VeriSign detectiesystemen die aanvallen op het DNS moet detecteren.